华为交换机查ip冲突_华为交换机上如何识别ARP攻击

最新推荐文章于 2025-06-10 07:06:15 发布

原创最新推荐文章于 2025-06-10 07:06:15 发布 · 4.5k 阅读

10 ·

CC 4.0 BY-SA版权

文章标签：

#华为交换机查ip冲突

本文介绍了如何在华为交换机上识别和处理ARP攻击。通过查看设备日志和ARP表，发现大量IP冲突告警和同一MAC对应多个IP的现象，可以判断存在ARP攻击。通过捕获上送CPU的报文，可以快速定位攻击主机，并通过显示MAC地址信息确定攻击主机所在端口，从而找到并处理攻击源。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

2 网关设备侧攻击识别

如发现网关设备(通常都为三层交换机)下挂的主机存在ping网关不通，无法访问外网

的情况，则可通过以下步骤来判断是否受到ARP攻击：

2.1 查看设备日志

display logbuffer

Logging Buffer Configuration and contents:

enabled

allowed max buffer size : 1024

actual buffer size : 256

channel number : 4 , channel name : logbuffer

dropped messages : 0

overwrote messages : 13003

current messages : 256

%May 4 11:54:55 2007 GX-ICD-5F-s3528-1 ARP/5/DUPIP:IP address 10.254.200.169 co

llision detected, sourced by 00b0-d0d1-5668 on Ethernet0/8 of VLAN10 and 0030-6e

48-573b on Ethernet0/10 of VLAN10

//ARP冲突告警：检测到IP地址10.254.200.169冲突，引起冲突的MAC地址为00b0-d0d1-5668

(从Ethernet0/8 VLAN10学习到)和0030-6e48-573b(从Ethernet0/10 VLAN10学习到)

%May 4 11:54:55 2007 GX-ICD-5F-s3528-1 ARP/5/DUPIP:IP address 10.254.200.169 co

llision detected, sourced by 0030-6e48-573b on Ethernet0/10 of VLAN10 and 00b0-d

0d1-5668on Ethernet0/8 of VLAN10

//ARP冲突告警：检测到IP地址10.254.200.169冲突，引起冲突的MAC地址为00b0-d0d1-5668 (从

Ethernet0/8 VLAN10学习到)和0030-6e48-573b(从Ethernet0/10 VLAN10学习到)

%May 4 11:54:55 2007 GX-ICD-5F-s3528-1 ARP/5/DUPIP:IP address 10.254.200.169 co

llision detected, sourced by00b0-d0d1-5668 on Ethernet0/8 of VLAN10 and 0030-6e

48-573b on Ethernet0/10 of VLAN10

//ARP冲突告警：检测到IP地址10.254.200.169冲突，引起冲突的MAC地址为00b0-d0d1-5668 (从

Ethernet0/8 VLAN10学习到)和0030-6e48-573b(从Ethernet0/10 VLAN10学习到)

%May 4 11:54:56 2007 GX-ICD-5F-s3528-1 ARP/5/DUPIP:IP address 10.254.200.170 co

llision detected, sourced by 0030-6e48-47d3 on Ethernet0/8 of VLAN10 and 00b0-d0

d1-5668on Ethernet0/8 of VLAN10

//ARP冲突告警：检测到IP地址10.254.200.170冲突，引起冲突的MAC地址为00b0-d0d1-5668 (从

Ethernet0/8 VLAN10学习到)和0030-6e48-573b(从Ethernet0/10 VLAN10学习到)

查看日志发现有大量密集的IP地址冲突告警，发生冲突的IP可能在变化(如10.254.200.169

与10.254.200.170)，但是发生冲突的某个MAC地址(00b0-d0d1-5668)始终不变，则可判

定存在ARP攻击，须查出攻击主机(mac：00b0-d0d1-5668)加以处理。

2.2 查看设备的ARP表

display arp

Type: S-Static D-Dynamic

IP Address MAC Address VLAN ID Port Name Aging Type

10.175.2.161 0011-253e-5bee100 Ethernet0/1/51 D

10.175.2.165 0011-253e-5bee100 Ethernet0/1/5 2 D

10.175.2.166 0011-253e-5bee100 Ethernet0/1/5 2 D

10.175.2.167 0011-253e-5bee100 Ethernet0/1/5 2 D

10.175.2.168 0011-253e-5bee100 Ethernet0/1/5 3 D

10.175.2.169 0011-253e-5bee100 Ethernet0/1/5 3 D

10.175.2.170 0011-253e-5bee 100 Ethernet0/1/5 3 D

10.175.2.176 0011-253e-5bee100 Ethernet0/1/5 5 D

10.175.2.177 0011-253e-5bee100 Ethernet0/1/5 5 D

10.175.2.181 0011-253e-5bee 100 Ethernet0/1/5 7 D

10.175.2.254 0011-253e-5bee100 Ethernet0/1/5 8 D

10.175.2.5 0011-253e-5bee100 Ethernet0/1/5 9 D

10.175.2.6 0011-253e-5bee 100 Ethernet0/1/5 9 D

10.175.2.11 0011-253e-5bee100 Ethernet0/1/5 10 D

10.175.2.12 0011-253e-5bee100 Ethernet0/1/5 10 D

10.175.2.120 0011-110c-43dc 100 Ethernet0/1/1 10 D

10.175.2.17 0011-253e-5bee100 Ethernet0/1/5 11 D

10.175.2.15 0030-6e06-311e 100 Ethernet1/1/24 11 D

10.175.2.18 0011-253e-5bee 100 Ethernet0/1/5 11 D

10.175.2.19 0011-253e-5bee100 Ethernet0/1/5 11 D

10.175.2.95 0040-0515-0b7b 100 Ethernet0/1/1 11 D

10.175.2.88 00d0-c958-6395 100 Ethernet1/1/47 13 D

10.175.2.84 00d0-c958-6455 100 Ethernet0/1/32 14 D

…………

如果发现存在多个IP(一般这些IP都同属一个网段)对应一个MAC、且对应的交换机

端口为下行端口的现象，也可判定网络中存在ARP攻击，需查找出攻击主机(mac：

0011-253e-5bee)做相应处理。

2.3 在S6500上查看ARP攻击

进入隐含模式

[6505B]en

[6505B-testdiag]catch rxtx by sa slot 0 // 打开开关统计上送CPU的报文

Slot 0: information of Module RxTx

[6505B-testdiag]catch rxtx end slot 0 //间隔10s后再敲以下命令关闭并显示结果

Slot 0: information of Module RxTx

The Catch Result of SA is :

e02101177a -------- 738

46148b0c9 -------- 212

e04c9925c6 -------- 392

1617b4294d -------- 76

e019094b15 -------- 9

1422c3261 -------- 820

a0c9ef9ba1 -------- 1152

c76a028f0 -------- 89

4619a4162 -------- 1190

461451295 -------- 853

1a4d664c2b -------- 423

16ec6c792 -------- 702

e04c4a6421 -------- 27

aeb534b32 -------- 138

00e0a004dd95 -------- 759

此方法可快速定位arp攻击主机，10s内上送CPU报文个数超过1000的mac都比较异常，

应将此类mac对应的主机查找出来加以处理。

2.4 查找攻击主机

首先在网关交换机上查找攻击主机的MAC地址：

display mac 00b0-d0d1-5668

MAC ADDR VLAN ID STATE PORT INDEX AGING TIME(s)

00b0-d0d1-566810 Learned Ethernet0/8 230

判断该mac地址是从Ethernet0/8端口学习到的，如果该端口是直接接主机的，则其下挂主

机就是攻击主机；

如果Ethernet0/8端口下还级联了交换机，则登陆下层交换机继续查找，直至找到该主机

为止：

display mac 00b0-d0d1-5668

MAC ADDR VLAN ID STATE PORT INDEX AGING TIME(s)

00b0-d0d1-566810 Learned Ethernet0/13 200

华为交换机 查ip冲突_华为交换机上如何识别ARP攻击

华为交换机查ip冲突_华为交换机上如何识别ARP攻击